1. 跨境申報新藥臨床試驗審批("IND")和新藥注冊申請("NDA")

境內(nèi)企業(yè)向境外藥品監(jiān)管機構(gòu)申請IND時，一般需要就該臨床試驗申請向境外藥品監(jiān)管機構(gòu)提交總體研究計劃、研究員手冊、臨床研究方案、化學(xué)、生產(chǎn)和質(zhì)量控制信息、藥理和毒理信息、已有人體臨床經(jīng)驗、額外信息等。

?

在NDA階段，通常需要向境外監(jiān)管機構(gòu)（如FDA）提供藥品生產(chǎn)信息、非臨床藥理和毒理數(shù)據(jù)、臨床試驗中產(chǎn)生的人體藥代動力學(xué)和生物利用度數(shù)據(jù)、微生物數(shù)據(jù)、臨床數(shù)據(jù)、安全性數(shù)據(jù)更新報告、統(tǒng)計學(xué)數(shù)據(jù)、病例報告表、有關(guān)專利情況、樣品、包裝及標(biāo)簽等。

2. 國際合作研究涉及的臨床試驗數(shù)據(jù)出境

外方單位與中國合作方共同開展國家合作研究，涉及臨床試驗的，可能會伴隨相關(guān)臨床試驗數(shù)據(jù)的出境。在該場景下，企業(yè)方除了需根據(jù)《人遺條例》就國際合作中涉及的人類遺傳資源材料及人類遺傳資源信息的出境向科學(xué)技術(shù)行政部門申請相關(guān)審批或備案外，其他不屬于人類遺傳資源信息的臨床數(shù)據(jù)也可能隨著研究項目的開展需要向境外提供。

3. 使用EDC系統(tǒng)或管理系統(tǒng)服務(wù)器將臨床數(shù)據(jù)向境外提供或?qū)ν忾_放

電子數(shù)據(jù)采集（Electronic Data Capture, EDC）是一種基于計算機網(wǎng)絡(luò)的用于臨床試驗數(shù)據(jù)采集的技術(shù)，通過軟件、硬件、標(biāo)準(zhǔn)操作程序和人員配置的有機結(jié)合，以電子化的形式直接采集和傳遞臨床數(shù)據(jù)。近年來電子數(shù)據(jù)采集技術(shù)在臨床試驗中越來越多地被采用，由于其具有數(shù)據(jù)及時錄入、實時發(fā)現(xiàn)數(shù)據(jù)錯誤、加快研究進(jìn)度、提高數(shù)據(jù)質(zhì)量等優(yōu)勢，各國藥品監(jiān)管部門都鼓勵臨床試驗中采用電子數(shù)據(jù)采集技術(shù)以保證數(shù)據(jù)質(zhì)量。若該等采集系統(tǒng)或管理系統(tǒng)的數(shù)據(jù)傳輸設(shè)置需要將數(shù)據(jù)傳輸出境，或?qū)?shù)據(jù)向境外主體開放訪問權(quán)限，或其服務(wù)器和運維部署在境外，都可能構(gòu)成臨床試驗數(shù)據(jù)出境。

4. 基于科研目的向境外發(fā)布臨床試驗結(jié)果

開展臨床試驗的研究機構(gòu)對于其研究發(fā)現(xiàn)可能會向境外機構(gòu)或刊物投稿發(fā)布研究成果，在投稿或?qū)徃宓冗^程中可能涉及相關(guān)臨床試驗數(shù)據(jù)向境外機構(gòu)提供的情形。

《個保法》頒布后，其中關(guān)于個人信息跨境傳輸?shù)木唧w合規(guī)路徑和門檻要求未同時落地，這導(dǎo)致跨國藥企在開展跨國藥物研究業(yè)務(wù)時一直面對著較大的合規(guī)不確定性。自2022年6月以來，我國出臺了一系列與數(shù)據(jù)出境相關(guān)的法規(guī)和征求意見稿，數(shù)據(jù)出境法規(guī)框架正在不斷地明確，監(jiān)管對于實踐落地的細(xì)節(jié)也給出了大幅細(xì)化的方向，其中包括2022年6月24日全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（"信標(biāo)委"）發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—個人信息跨境處理活動安全認(rèn)證規(guī)范》（"《認(rèn)證規(guī)范》"），2022年6月30日網(wǎng)信辦發(fā)布的《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》（"《標(biāo)準(zhǔn)合同規(guī)定》"，《標(biāo)準(zhǔn)合同規(guī)定》附件《個人信息出境標(biāo)準(zhǔn)合同》下稱"中國SCC"）和2022年7月7日網(wǎng)信辦頒布并將于今年9月1日正式生效的《數(shù)據(jù)出境安全評估辦法》。

?

對于有臨床試驗數(shù)據(jù)出境需求的藥企來說，這些法規(guī)和征求意見稿解答了數(shù)據(jù)出境活動中的一些基礎(chǔ)性問題，明晰了企業(yè)數(shù)據(jù)出境的合規(guī)路徑，便于藥企判斷自己是否需要進(jìn)行安全評估的申報，并且促使藥企開始思考其在處理和向境外提供臨床數(shù)據(jù)的實踐中，如何履行有關(guān)充分同意、單獨同意、自評估等合規(guī)要求。

?

《個保法》提供了三條主要的向境外提供個人信息的合規(guī)路徑，分別為通過國家網(wǎng)信部門組織的數(shù)據(jù)安全評估（安全評估），按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證（機構(gòu)認(rèn)證），或者按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)（標(biāo)準(zhǔn)合同）[1]。三者的關(guān)系是，如果達(dá)到安全評估的門檻的，則必須進(jìn)行安全評估，如果沒有達(dá)到的，可以選擇機構(gòu)認(rèn)證或者簽署標(biāo)準(zhǔn)合同。下面對這三條路徑在臨床試驗數(shù)據(jù)出境的場景下可能面臨的問題做一個簡單的探討。

數(shù)據(jù)安全評估的門檻要求在《數(shù)據(jù)出境安全評估辦法》[2]中明確為：

?

1) 數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；

2) 關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息；

3) 自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息；

4) 國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。

?

上述第1）條涉及重要數(shù)據(jù)，第2）和第3）條涉及個人信息。

1. 重要數(shù)據(jù)出境需安全評估

申辦者應(yīng)當(dāng)考慮受試者個人信息構(gòu)成重要數(shù)據(jù)的客觀可能性?！吨腥A人民共和國數(shù)據(jù)安全法》（"《數(shù)安法》"）、《數(shù)據(jù)出境安全評估辦法》等法律法規(guī)判斷重要數(shù)據(jù)的指標(biāo)是其遭到篡改、破壞、泄露或者非法獲取、非法利用后對于國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的危害[3]。雖然《數(shù)安法》要求各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，但數(shù)據(jù)主管部門及醫(yī)療行業(yè)主管部門尚未對醫(yī)藥領(lǐng)域的重要數(shù)據(jù)制定具體目錄。

?

2022年版本的《信息安全技術(shù)重要數(shù)據(jù)識別指南》（征求意見稿）在重要數(shù)據(jù)的識別因素中列明："h）反映群體健康生理狀況、族群特征、遺傳信息等的基礎(chǔ)數(shù)據(jù)，如人口普查資料、人類遺傳資源信息、基因測序原始數(shù)據(jù)屬于重要數(shù)據(jù)"[4]。該版《信息安全技術(shù)重要數(shù)據(jù)識別指南》（征求意見稿）由信標(biāo)委發(fā)布。

?

而網(wǎng)信辦也在2021年11月14日發(fā)布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》中對重要數(shù)據(jù)進(jìn)行了定義和列舉，其中包括"5.達(dá)到國家有關(guān)部門規(guī)定的規(guī)?；蛘呔鹊幕颉⒌乩?、礦產(chǎn)、氣象等人口與健康、自然資源與環(huán)境國家基礎(chǔ)數(shù)據(jù)"[5]。

?

由以上不同文件中對于重要數(shù)據(jù)的內(nèi)涵和外延的解釋可以看出，監(jiān)管部門對于涉及一定量人口基數(shù)的，與人口總體健康特征、遺傳、基因等方面有關(guān)的信息是傾向于加強監(jiān)管并將其作為較高風(fēng)險級別的數(shù)據(jù)進(jìn)行處理的。同時，上述文件中不盡相同的表述似乎也體現(xiàn)了各監(jiān)管部門對于重要數(shù)據(jù)不同角度的理解。

?

基于《數(shù)安法》要求，各地區(qū)、各部門應(yīng)當(dāng)確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，我們認(rèn)為，后續(xù)不同地區(qū)以及不同監(jiān)管方對于臨床試驗業(yè)務(wù)場景下的重要數(shù)據(jù)也可能會有不同的定義，且該等不同部門對于數(shù)據(jù)內(nèi)涵理解不統(tǒng)一的狀態(tài)可能會長期持續(xù)。在相關(guān)的要求被正式明確之前，企業(yè)可以（1）從重要數(shù)據(jù)的定義入手，嘗試分析其手中臨床試驗項目數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用對于國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全可能產(chǎn)生的影響，或者尋求專業(yè)法律意見；（2）注意藥監(jiān)局和衛(wèi)健委對于醫(yī)療行業(yè)重要數(shù)據(jù)劃分的監(jiān)管動態(tài)，結(jié)合現(xiàn)有的《人遺條例》的監(jiān)管體系，除履行利用人類遺傳資源開展國際合作研究的備案/審批程序、對外提供人遺信息備案、人遺材料出境審批等要求外，對于涉及人類遺傳資源信息和基因信息的臨床試驗數(shù)據(jù)進(jìn)行不低于法定的重要數(shù)據(jù)保護(hù)和出境要求的合規(guī)處理；（3）結(jié)合自身臨床試驗項目涉及的個人數(shù)量，如自判有臨床試驗項目涉及受試者數(shù)量眾多的，則需要提供更高的安全保護(hù)措施。

2. 敏感個人信息的出境門檻

除了普通的個人信息，藥物臨床試驗中還涉及大量受試者的敏感個人信息?！秱€保法》將醫(yī)療健康信息規(guī)定為敏感個人信息，但并未就其外延給出進(jìn)一步的詳細(xì)列舉。此前，國家標(biāo)準(zhǔn)GB/T 35273-2020《信息安全技術(shù) 個人信息安全規(guī)范》中將"個人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄，如病癥、住院志、醫(yī)囑單、檢驗報告、手術(shù)及麻醉記錄、護(hù)理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現(xiàn)病史、傳染病史等"列為敏感個人信息[6]。

?

而根據(jù)GCP，臨床試驗階段所產(chǎn)生的源數(shù)據(jù)包括如醫(yī)院病歷、醫(yī)學(xué)圖像、實驗室記錄、備忘錄、受試者日記或者評估表、發(fā)藥記錄、儀器自動記錄的數(shù)據(jù)、縮微膠片、照相底片、磁介質(zhì)、X光片、受試者文件，藥房、實驗室和醫(yī)技部門保存的臨床試驗相關(guān)的文件和記錄，包括核證副本等[7]?？梢钥闯?，臨床試驗數(shù)據(jù)中天然地含有各類敏感個人信息。因此，如果將包含敏感個人信息的臨床試驗數(shù)據(jù)不加處理地向境外傳輸，一旦涉及傳輸超過一萬人的敏感個人信息，即需要向網(wǎng)信部門進(jìn)行出境安全評估的申報。在實踐中，臨床試驗為了保證其結(jié)果的準(zhǔn)確性和科學(xué)性，達(dá)到一萬人的門檻數(shù)量是較為常見的。相關(guān)企業(yè)需要提前制定應(yīng)對策略，并判斷是否可以避免或減少敏感個人信息的跨境傳輸，或者如何提高通過安全評估的可能性。

在未觸發(fā)安全評估門檻的情況下，企業(yè)可以選擇標(biāo)準(zhǔn)合同或機構(gòu)認(rèn)證的方式確保向境外傳輸數(shù)據(jù)的行為符合中國法律的要求。無論是信標(biāo)委發(fā)布的《認(rèn)證規(guī)范》，還是網(wǎng)信辦發(fā)布的《標(biāo)準(zhǔn)合同規(guī)定》，其均要求傳輸方和境外接收方簽署有法律約束力的協(xié)議，其中提出了較多具體要求。尤其是《標(biāo)準(zhǔn)合同規(guī)定》，除要求境外接收方處理個人信息的目的、范圍、方式須具有合法性、正當(dāng)性、必要性，評估出境個人信息的數(shù)量、范圍、類型、敏感程度以及個人信息出境可能對個人信息權(quán)益帶來的風(fēng)險外，亦要求明確境外接收方承諾承擔(dān)的責(zé)任義務(wù)，其履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境個人信息的安全，需要評估個人信息出境后泄露、損毀、篡改、濫用等的風(fēng)險，個人維護(hù)個人信息權(quán)益的渠道是否通暢，還需要評估境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策法規(guī)對標(biāo)準(zhǔn)合同履行的影響。該等境外接收方國家或地區(qū)的信息保護(hù)程度可能需要尋求當(dāng)?shù)貙I(yè)律師的意見。

?

《標(biāo)準(zhǔn)合同規(guī)定》亦要求境外接收方允許境內(nèi)個人信息處理者對數(shù)據(jù)文件和文檔進(jìn)行查閱，或?qū)ζ浜w的處理活動進(jìn)行審計。"中國SCC"附錄二部分專門提供了合同當(dāng)事雙方約定的其他條款部分，據(jù)此，合同雙方可以在附錄二中自行協(xié)商約定適合自身業(yè)務(wù)安排的條款。但是，《標(biāo)準(zhǔn)合同規(guī)定》第2條第二款規(guī)定，境內(nèi)個人信息處理者與境外接收方簽訂與個人信息出境活動相關(guān)的其他合同，不得與標(biāo)準(zhǔn)合同相沖突。

?

如臨床試驗數(shù)據(jù)境內(nèi)傳輸方和境外接收方并非屬同一集團公司（譬如直接向境外科研雜志機構(gòu)提供信息等情況），如要求境外接收方簽署"中國SCC"，境外接收方可能會因為標(biāo)準(zhǔn)條款對其施加了較重的義務(wù)以及必須接受中國法管轄等原因而有所抵觸。目前《標(biāo)準(zhǔn)合同規(guī)定》的正式版還有待出臺，同時認(rèn)證工作的實際開展和認(rèn)可也有待網(wǎng)信辦等監(jiān)管部門一同推動落實，在此之前，相關(guān)申報方和科研機構(gòu)應(yīng)就跨境方案（包括跨境傳輸?shù)膬?nèi)容和傳輸路徑的設(shè)計等）和跨境合規(guī)途徑的選擇進(jìn)行消化和充分的探討，包括與境外接收方進(jìn)行溝通。

1. 使用鑒認(rèn)代碼的要求與個人信息的匿名化

或許有些申辦方會希望GCP要求下的鑒認(rèn)代碼指代方式可以同時滿足《個保法》項下對于匿名化的要求，從而使得該等向境外傳輸?shù)男袨椴恍枰患{入計算安全評估的門檻數(shù)量內(nèi)。雖然GCP要求研究者應(yīng)在記錄不良事件和其他與試驗有關(guān)的數(shù)據(jù)時以受試者鑒認(rèn)代碼來代表受試者，但是，由于臨床試驗中出于研究需要會采集大量特定受試者的生理醫(yī)療特征以及病歷病史信息，該等臨床試驗數(shù)據(jù)若與其他信息結(jié)合，未必不能識別出個人信息背后的特定個人。因此，使用鑒認(rèn)代碼或許可以滿足《個保法》中的"去標(biāo)識化"，但很可能不能滿足"匿名化"的要求。

?

敏感個人信息跨境傳輸安全評估的較低門檻、臨床試驗數(shù)據(jù)的出境需求以及《個保法》下匿名化的高標(biāo)準(zhǔn)，使得臨床試驗數(shù)據(jù)出境的合規(guī)難度有所提高。醫(yī)藥行業(yè)亟待有關(guān)部門對于包含臨床試驗數(shù)據(jù)在內(nèi)的醫(yī)療健康個人信息的分級分類、匿名化或脫敏、出境合規(guī)等內(nèi)容做出具體的指引，以期實現(xiàn)數(shù)據(jù)的安全共享和達(dá)到科研應(yīng)用的目的。

2. 知情同意、單獨同意、另行獲取同意

《個保法》下，除明確列出的豁免情形外，對于個人信息的處理要以獲取個人在充分知情的前提下自愿、明確的同意為前提[8]。由于臨床試驗數(shù)據(jù)涉及數(shù)據(jù)主體的診療記錄、用藥記錄等敏感個人信息，因此，需要向受試者告知有關(guān)處理其敏感個人信息的必要性以及對個人權(quán)益的影響[9]。

?

此外，《個保法》更要求將個人信息提供給其他個人信息處理者以及向境外提供時都需要獲取個人信息主體的單獨同意[10]。GCP項下亦要求獲取受試者的知情同意，受試者被告知可影響其做出參加臨床試驗決定的各方面情況，確認(rèn)同意自愿參加臨床試驗后[11]，研究者方可采集其臨床數(shù)據(jù)進(jìn)行研究活動。

?

現(xiàn)階段，監(jiān)管部門并未對《個保法》和GCP下的知情同意之間的關(guān)系進(jìn)行釋明。我們傾向于認(rèn)為，《個保法》和GCP保護(hù)的法益在臨床試驗場景下有所交叉，都需要受試者自愿同意；但是，《個保法》和GCP的立法目的和監(jiān)管范圍事實上絕大部分有所不同，因此單純期望以滿足GCP要求的知情同意函來覆蓋《個保法》下對于個人信息的種種保護(hù)要求，是不充分的。

?

我們理解，如在已經(jīng)開始的臨床試驗項目里為了滿足《個保法》的要求而修改知情同意函并另行獲取受試者的同意，可能會面臨一系列實踐中的困難。一方面，可能不是全部受試者都一定會愿意簽署，獲取全部受試者的簽名的可能性較低且成本可能較高。另一方面，《個保法》要求向個人信息主體告知接收方的名稱、聯(lián)系方式、處理目的、處理方式和個人信息的種類，當(dāng)接收方超越已告知的處理目的、處理方式和個人信息的種類等范圍處理個人信息時，需要再次重新取得個人同意。但境內(nèi)實體在實踐中可能難以確保境外接收方在收到臨床數(shù)據(jù)后僅按照其承諾的范圍和方式進(jìn)行處理。

?

針對以上實踐難點，行業(yè)的共識亟待達(dá)成，目前我們建議申報方或者研究機構(gòu)至少在同意函中披露當(dāng)下已知的境外接收方全部的處理目的、范圍以及全部可能的后續(xù)境外接收方，并盡可能地定期提供境外接收方是否再傳輸和將臨床數(shù)據(jù)用于其他目的的更新，供受試者自行查閱，并提供便捷的聯(lián)系方式供受試者撤回或修改同意等。

3. 自評估

無論是《個保法》，還是《認(rèn)證規(guī)范》《標(biāo)準(zhǔn)合同規(guī)定》或《數(shù)據(jù)出境安全評估辦法》，都要求進(jìn)行個人信息保護(hù)影響評估（"自評估"）。鑒于自評估需要全面了解被評估主體的數(shù)據(jù)流和個人信息保護(hù)活動的全貌，并且也涉及對于境外接收方個人信息保護(hù)環(huán)境的評估，我們建議有出境需求的臨床試驗參與方應(yīng)盡早開始進(jìn)行自評估的工作。

在個人信息和數(shù)據(jù)保護(hù)法律法規(guī)不斷完善、細(xì)化的大背景下，臨床試驗數(shù)據(jù)的出境面臨著新的合規(guī)挑戰(zhàn)。以往以知情同意函獲取受試者同意、使用人遺資源信息對外提供規(guī)則約束數(shù)據(jù)出境的方式已經(jīng)不能完全滿足現(xiàn)有的數(shù)據(jù)出境法規(guī)的要求?！秱€保法》已于2021年11月1日生效，《數(shù)據(jù)出境安全評估辦法》也將于2022年9月1日正式生效，相關(guān)企業(yè)宜盡早（1）根據(jù)《個保法》的要求開始知情同意函的更新和受試者簽署的收集；(2) 啟動自評估，對所涉重要數(shù)據(jù)、個人信息和敏感個人信息進(jìn)行梳理，討論各類數(shù)據(jù)出境的必要性；（3）就臨床試驗數(shù)據(jù)出境的三條合規(guī)路徑進(jìn)行考察，判斷是否達(dá)到了觸發(fā)申報安全評估的門檻數(shù)量，以及簽署標(biāo)準(zhǔn)合同或進(jìn)行機構(gòu)認(rèn)證的可行性。在立法與實踐不斷接軌的進(jìn)程中，企業(yè)可以根據(jù)其自身臨床試驗項目的特點和業(yè)務(wù)實際需求，尋求專業(yè)的法律意見，把握和落實個人信息和數(shù)據(jù)保護(hù)法律法規(guī)提出的新要求，并將其轉(zhuǎn)化為現(xiàn)實可操作的合規(guī)建議。